nareshnavinash/dobbe

[](https://github.com/nareshnavinash/dobbe/actions/workflows/ci.yml) [](https://pypi.org/project/dobbe/) [](https://www.python.org/downloads/) [](LICENSE) []() # dobbe **您的 AI 安全工程师。不仅仅是另一个版本更新工具。** dobbe 运行 Claude Code agents，自主扫描、修复并验证您 GitHub 仓库中有漏洞的依赖项——然后开启一个包含通过测试的 PR。 ## 演示 ``` $ dobbe vuln resolve --repo nareshnavinash/api dobbe v0.1.0 - AI Security Engineer ● Discovering MCP servers... GitHub ✓ Slack ✓ ● Resolving repository... nareshnavinash/api (main) ● Creating fix branch... fix/dobbe-security-2026-03-21 ┌─────────────────────────────────────────────────────┐ │ SCAN - Fetching Dependabot alerts │ └─────────────────────────────────────────────────────┘ Found 12 alerts. Triaging with AI... ┌──────┬──────────────────┬──────────┬────────────────┐ │ # │ Package │ Severity │ AI Triage │ ├──────┼──────────────────┼──────────┼────────────────┤ │ 1 │ lodash 4.17.20 │ Critical │ Fix - in path │ │ 2 │ express 4.17.1 │ High │ Fix - in path │ │ 3 │ semver 7.3.5 │ Medium │ Skip - unused │ └──────┴──────────────────┴──────────┴────────────────┘ ┌─────────────────────────────────────────────────────┐ │ FIX - Upgrading 2 dependencies │ └─────────────────────────────────────────────────────┘ ✓ lodash 4.17.20 → 4.17.21 ✓ express 4.17.1 → 4.21.0 ┌─────────────────────────────────────────────────────┐ │ VERIFY - Running tests (attempt 1/3) │ └─────────────────────────────────────────────────────┘ ✓ 847 tests passed ┌─────────────────────────────────────────────────────┐ │ REPORT - Creating pull request │ └─────────────────────────────────────────────────────┘ ✓ PR #142 opened: fix/dobbe-security-2026-03-21 https://github.com/nareshnavinash/api/pull/142 ``` ## 为什么选择 dobbe？ **Dependabot 告警堆积如山。** 您的团队有数百个未处理的告警。dobbe 使用 AI 扫描它们，确定哪些真正影响您的代码路径，并告诉您优先修复什么。 **PR 审查成为团队瓶颈。** dobbe 分析开放的 pull request，标记安全问题，并发布行内审查评论——这样人类审查者就可以专注于架构和设计。 **安全升级导致故障。** dobbe 不仅仅更新版本。它运行一个代理式的修复-验证循环：升级、运行测试、读取错误、回滚、重试——直到测试通过或报告阻碍收敛的原因。 ## 功能 | 命令 | 描述 | |---|---| | `dobbe vuln scan` | 扫描仓库的 Dependabot 告警，使用 AI 风险分析进行分类 | | `dobbe vuln resolve` | 代理式修复循环：扫描、升级、测试、迭代直到测试通过 | | `dobbe review digest` | 获取开放的 PR，使用 AI 分析，输出优先级审查摘要 | | `dobbe review post` | 分析 PR 并向 GitHub 发布行内审查评论 | | `dobbe schedule` | 定期自动运行任何命令 | | `dobbe setup` | 交互式首次配置向导 | | `dobbe doctor` | 检查环境健康状况并诊断问题 | | `dobbe config` | 查看和管理配置 | ## 快速开始 ``` pip install dobbe dobbe setup dobbe vuln scan --repo nareshnavinash/your-repo dobbe vuln resolve --repo nareshnavinash/your-repo ``` ## dobbe 与替代方案对比 | | dobbe | Dependabot | Renovate | Snyk | |--------------------------|-------|------------|----------|-------| | 自动更新版本 | Yes | Yes | Yes | Yes | | AI 代码路径分析 | Yes | - | - | - | | PR 前运行测试 | Yes | - | - | - | | 测试失败重试 | Yes | - | - | - | | AI PR 代码审查 | Yes | - | - | - | | 组织级批量扫描 | Yes | - | Yes | Yes | | 终端原生 CLI | Yes | - | - | Yes | | 开源 | Yes | Yes* | Yes | - | | 无需 SaaS | Yes | - | Self-host| - | _*Dependabot 是开源的，但与 GitHub 的托管基础设施紧密耦合。_ ## 工作原理 `dobbe vuln resolve` 流水线在反馈循环中协调多个 AI 代理： ``` ┌─────────────────────────────────────┐ │ dobbe vuln resolve --repo │ └──────────────┬──────────────────────┘ │ v ┌─────────────────────────────────────┐ │ MCP Discovery + Repo Resolution │ └──────────────┬──────────────────────┘ │ v ┌─────────────────────────────────────┐ │ Create fix branch from base │ └──────────────┬──────────────────────┘ │ v ┌─────────────────────────────────────┐ │ SCAN AGENT │ │ Fetch Dependabot alerts, │ │ triage risk with code analysis │ └──────────────┬──────────────────────┘ │ ┌─────┴─────┐ │ Dry run? │ └─────┬─────┘ yes | | no v v ┌────────┐ ┌─────────────────────┐ │ Report │ │ FIX AGENT │<───┐ │ and │ │ Upgrade deps, │ │ │ exit │ │ update lockfiles │ │ └────────┘ └──────────┬──────────┘ │ │ │ v │ ┌──────────────────┐ │ │ Git commit │ │ └────────┬─────────┘ │ │ │ v │ ┌──────────────────┐ │ │ VERIFY AGENT │ │ │ Run tests, │ │ │ check breaking │ │ │ changes │ │ └────────┬─────────┘ │ │ │ ┌─────┴─────┐ │ │ Pass? │ │ └─────┬─────┘ │ yes | | no │ │ v │ │ ┌────────────┐ │ │ │ Iterations │ │ │ │ left? │ │ │ └─────┬──────┘ │ │ yes | | no │ │ │ │ │ │ v │ │ │ Revert, │ │ │ feed back├─────────┘ │ errors │ │ │ v v ┌──────────────────┐ │ REPORT AGENT │ │ Executive │ │ summary │ └────────┬─────────┘ │ v ┌──────────────────┐ │ Create PR │ │ (if converged) │ └──────────────────┘ ``` 每个代理都有范围限定的工具访问权限——修复代理可以编辑文件，验证代理只能读取和运行测试，报告代理只能读取。有关完整详细信息，请参阅 [resolve 流水线深入解析](docs/architecture/resolve-pipeline.md)。 ## 前置条件 - **Python 3.11+** - **[Claude Code CLI](https://docs.anthropic.com/en/docs/claude-code)** - 已安装并通过认证 - **[gh CLI](https://cli.github.com/)** - 用于 GitHub API 访问 - **MCP servers** (可选) - GitHub, Slack, Atlassian, Sentry 用于增强功能 ## 安装 ``` # 从 PyPI 安装 pip install dobbe # 或使用 pipx 进行隔离安装 pipx install dobbe # 开发环境安装 git clone https://github.com/nareshnavinash/dobbe.git cd dobbe pip install -e ".[dev]" ``` ## 配置 dobbe 将配置存储在 `~/.dobbe/config.toml` 中。运行 `dobbe setup` 交互式生成它，或直接编辑： ``` [general] default_org = "nareshnavinash" default_format = "table" # table, json, markdown default_severity = "critical,high" [notifications] slack_channel = "#security-alerts" ``` 有关所有选项，请参阅[完整配置参考](docs/reference/configuration.md)。 ## 文档 - [入门指南](docs/getting-started.md) - 安装、设置、首次扫描 - [命令参考](docs/commands/) - 每个命令的文档，包含流程图和示例 - [架构](docs/architecture/) - 系统设计、流水线深入解析 - [配置参考](docs/reference/configuration.md) - 完整的 TOML 参考 - [CLI 参考](docs/reference/cli-reference.md) - 所有命令和选项 - [MCP 集成](docs/reference/mcp-integrations.md) - GitHub, Slack, Jira, Sentry 设置 - [贡献指南](docs/contributing.md) - 开发设置和 PR 指南 ## 贡献 ``` git clone https://github.com/nareshnavinash/dobbe.git cd dobbe pip install -e ".[dev]" pytest ``` 994 个测试，覆盖率 98%+。有关完整详细信息，请参阅[贡献指南](docs/contributing.md)。 ## 许可证 MIT

标签：AI安全工程师, AI编程, Claude Agent, Dependabot, DevSecOps, GitHub集成, GPT, Python, Python安全, 上游代理, 云安全监控, 代码安全, 依赖项扫描, 文档安全, 无后门, 模块化设计, 漏洞修复, 漏洞枚举, 漏洞管理, 网络安全培训, 自动化修复, 逆向工具, 静态分析